Bitte helft mir beim aufräumen der Reg.!!!
 

Hallo Leute.

Heute sitze ich am Computer meines Bruders und versuche diesen zu retten.
Er hatte sich den "SpyFalcon-Wurm" eingefangen und noch einen Trojaner mit dem Namen: Trojan-Downloader.Win32.Zlob.fv

Gegen den SpyFalcon-Wurm habe ich folgende Scanner und Cleaner das System checken lassen:
Brut Force Uninstaller, spyaxe, CleanUp, SmitRem. Anschl. habe ich noch einen Scan mit dem Kaspersky Online-Scanner durchgeführt.
Das Programm "Spy-Falcon" öffnet sich nicht mehr und ist hoffentlich endgültig gelöscht.

Kaspersky hat den den "Trojan-Downloader.Win32.Zlob.fv" in einer Datei im System entdeckt, die ich danach manuel gelöscht habe. War das in Ordnung?

So jetzt stelle ich meine HiJackThis-Logfile zur verfügung und bitte euch mir mitzuteilen was weg kann und was es noch für Probleme gibt:

Logfile of HijackThis v1.99.1
Scan saved at 13:57:30, on 16.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1.DEE\backweb\154149\Program\SERVIC~1.EXE
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Common\FSMA32.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Common\FCH32.EXE
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Anti-Virus\fsqh.exe
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Anti-Virus\fsrw.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\MediaGateway\MediaGateway.exe
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Common\FSM32.EXE
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\FSGUI\ispnews.exe
C:\PROGRA~1\F-SECU~1.DEE\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\FSGUI\fsguidll.exe
C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\backweb\154149\Program\fspex.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = .euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = .euro.dell.com/
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [HDInspector.exe] C:\Programme\Festplatten-Inspektor\HDInspector.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [MediaGateway] C:\Programme\MediaGateway\MediaGateway.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\FSGUI\ispnews.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\system32\winshost.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: F-Secure Anti-Virus 2006 - WEB.DE Edition.lnk = C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\backweb\154149\Program\fspex.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Anti-Spyware\ieshield.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - .kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -software-dl.real.com/280c86c8e76674407c20/netzip/RdxIE601_de.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - .ca.com/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69234F2F-6490-4A62-9716-61F7015359FB}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: F-Secure Anti-Virus 2006 - WEB.DE Edition (BackWeb Plug-in - 154149) - F-Secure Internet Security 2006 - C:\PROGRA~1\F-SECU~1.DEE\backweb\154149\Program\SERVIC~1.EXE
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\backweb\154149\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus 2006 - WEB.DE Edition\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe

Vielen Dank.

P.S.: Ich finde den F-Secure Anti-Virus nicht so toll. Was würdet Ihr für ein Free-Anti-Vir-Programm installieren?? Und wie deinstalliere ich einen Viren-Scanner richtig?? So viele Fragen. Ich hoffe auf eine Antwort. Danke

Hallo Mauri,
hat der F-Secure keine Deinstallationsroutine ?Über Start>Systemsteuerung>Software sollte er sich wegmachen lassen.Antivir fällt mir gerade ein.Ist kostenlos und besser als nix allemal.
Bemühe Google um Infos über deinen Zlob-Freund zu bekommen.
Irlicht

Vielen Dank Irrlicht für die schnelle Antwort. :aplaus:
Findest du im HiJackThis-Log sonst nichts auffälliges??

Danke & Gruß

Was hat Google über dein Problem (Trojan-Downloader.Win32.Zlob.fv)
ausgespuckt ?
Das zu ergründen, inclusive des angeratenen weiteren Verhaltens sollte dein dringlichstes Problem erstmal sein.
Irrlicht

Wenn ich nach "Trojan-Downloader.Win32.Zlob.fv" suche, findet GOOGLE nicht wirlklich viel.:nixda:
Es gibt nur eine Deutsche-Seite dazu und die ist von a2. Da heißt es, dass dieser Trojaner mit dem Programm a2 gefunden werden kann. Muß ich mir jetzt dieses Programm besorgen? Muß doch uch anders gehen.

Sonst findet GOOGLE noch ein paar spanische Seite, ein/zwei englische und eine französische, auf denen der Trojaner beschrieben wird, oder Software-Seiten, die ihre IDE-Files zur Bekämpfung des Trojaner zur Verfügung stellen. Ich schaue mal, ob F-Secure so ein IDE-File besitzt.

Sonst noch eine Idee?

Danke & Gruß :daumenhoc

Hi,
Zlob gehört zur Smitfraud-Familie. Nutze mal hierzu die Boardsuche. Sie hilft dir bestimmt weiter.
cacatoa